Администраторы.Удаленное подключение.

Skip to end of metadata
Go to start of metadata

Администратор – пользователь, имеющий право управлять Carbon Billing через Carbon Manager.
Всегда есть пользователь Главный администратор. Главный администратор имеет полные права, может создавать других администраторов для отдельных групп (Администраторов групп). Главный администратор может быть только один и не может быть удален. По умолчанию, логин – Administrator, пароль – servicemode.

Расположение администраторов в дереве пользователей

В системе Carbon Billing заложен принцип, что администратор может управлять всеми пользователями и подгруппами группы, в которой находится сам. При этом он одновременно как пользователь является и пользователем этой же группы. Т.е. на его трафик считается на эту группу и на него действуют ограничения этой группы.
Такой принцип размещения администраторов является удобным, понятным и удовлетворяет большинству реальных ситуаций. В редких случаях, как правило, в крупных предприятиях и, как правило, для корневых администраторов, может потребоваться другие схемы размещения администраторов:
1.   Необходимо, чтобы администратор как пользователь находился в какой-то конкретной группе пользователей своего отдела. И при этом мог управлять, например, всеми пользователями или всей вышележащей группой.
Такую ситуацию можно решить так:
Для таких администраторов создать два логина:

  • Один, как для пользователя в той группе где он должен находиться как пользователь. Под этим логином он будет устанавливать VPN-соединение и работать в Интернет.
  • И второй как для администратора, в корне той группы, которой он должен управлять. Установить для него ограничение доступа. Т.е. с этим логином он не сможет выходить в Интернет, и будет использовать его только для работы с БД.

Для удобства работы, у первого логина установить один из административных признаков. Т.к. для работы с Carbon Manager нужно обязательно установить соединение под пользователем являющимся администратором. Тогда для установки VPN-соединения он будет использовать первый логин, а для подключения к БД второй.
2.   Администратор должен управлять группами пользователей находящихся в разных местах дерева. Для этого:

  • Как и в предыдущем случае, создать по отдельному логину в каждой группе пользователей с ограничением доступа, или
  • Что более удобно, поместить такие группы в одну группу верхнего уровня.

Создание администраторов и их права

Администратор может управлять только пользователями группы, в которой находится сам, а также всеми подгруппами этой группы, может создавать других администраторов в пределах своей группы. Это распространяется на все элементы интерфейса Carbon Manager. В дереве пользователей, в мониторе и в аудите событий отображаются только "свои" пользователи.
Различают администраторов технических и финансовых, управляющих соответственно техническими или финансовыми параметрами пользователей в пределах своей группы. Один администратор одновременно может являться техническим и финансовым.
Такая структура позволяет сделать управление системой гибкой и в тоже время удобной: передавать управление нижележащим группам, делить администраторов на технических и финансовых. Особенно это относится к крупным предприятиям, в небольших предприятиях обычно достаточно одного администратора.
Для того чтобы создать администратора:
1.   Создайте обычного пользователя.
2.   Установите у этого пользователя признаки:

Администратор технический - 

Этот администратор управляет всеми техническими полями. Права на изменение полей пользователя во вкладке "Информация":
- Абонент
- Логин
- Пароль
- e-mail
- mac
- switch IP
- switch Vlan
- switch port
- opt 82
- Пул
- IP
- NAS
- isNAT
- тип авторизации
- HOST IP

Права на изменение флагов:
- Отключить и запретить вход
- включить почту
- переадресовать почту
- разрешить переподключение
- разрешить VPN из Интернет
- порог предупреждения

Также есть права на создание пользователей, изменение всех реквизитов пользователя и просмотр разделов "Монитор", "Тарифы", "Аудит".

Администратор финансовый - 

Этот тип администраторов, у которых есть права для внесения оплаты. Доступны все финансовые операции, аудит, просмотр тарифных планов и монитор. Возможно исправление следующих полей:
- Номер договора
- Порог предупреждения
- Порог отключения
- абон. плата (переопределение)
- Формирование акта, период
- Формирование акта, дата
- подключение доп. услуг

Также доступны все функции на вкладке Операции.

 Администратор карт оплаты - Данный тип администраторов может только создавать серии карт оплаты. Для этого необходимо выбрать в пункте меню Вид -> Карты оплаты.

 Администратор только для чтения - Данному администратору доступны для просмотра все пункты только для чтения, без изменений.

 Администратор абонентов, все поля - На вкладке "Информация" может изменять все параметры абонентов.

 Администратор главный, все права - Имеет те же права, что и главный администратор, но его можно назначить в определенной группе.
Замечания:
1.   Некоторыми параметрами системы может управлять только Главный администратор:

  • Редактировать пулы IP-адресов.
  • Редактировать тарифные планы.
  • Переопределять вручную пользователю IP-адрес, пул, адрес NAT.

2.   Администраторы, находящиеся в корневой группе, в отличие от администраторов других групп, имеют дополнительные права:

  • Возможность смены тарифного плана пользователя.
  • В случае необходимости могут вручную исправлять баланс пользователей и групп с использованием кнопки Исправить баланс на закладке Операции.

3.   Все администраторы, кроме Главного администратора:

  • Не могут изменять параметры группы, в которой находятся сами.
  • Не могут изменять администраторов одного уровня с собой, то есть находящихся непосредственно в этой же группе.
  • Не могут создавать администраторов одного с собой уровня, если этот уровень в дереве расположен до группы с признаком финансовая. Это дополнительное разграничение полномочий, так как такие администраторы могут создавать финансовые группы.

4.   Действия администраторов журналируются. Просмотреть их можно в разделе Аудит событий.

Для просмотра событий нажмите на панели быстрого запуска кнопку Аудит событий.
Для вывода конкретных типов событий можно использовать фильтр: по дате, по типу, по администратору.
По каждому событию фиксируются следующие параметры:
Дата – дата и время изменения БД
Событие – тип события: редактирование пользователя, редактирование тарифных планов и т.д.
Комментарий – пояснение что было изменено/создано.
Хозяин – пользователь, который произвел действие.

Удаленное подключение

Свойство пользователя Разрешить VPN из Интернет означает возможность пользователя подключиться к внешнему адресу Carbon Billing, например из дома или командировки. По умолчанию все пользователи подключаются ко внутреннему адресу.
Возможность пользователя подключиться к внешнему адресу позволяет подключаться к внутренней сети предприятия через защищенное соединение. Для дополнительной защиты сети предприятия разрешать удаленное подключение нужно только пользователям, которым это действительно необходимо.

Замечания:
- Свойство Разрешить удаленное подключение устанавливается отдельно для каждого пользователя. 
- На возможность администратора группы устанавливать своим пользователям это разрешение влияют соответствующие установки в свойствах группы. 
- В Carbon Billing есть глобальный параметр, устанавливаемый в локальной консоли сервера "Меню->Конфигурирование сервера->Безопасность->Разрешить VPN-соединения из Интернет". В случае, если он не установлен, то ко внешнему адресу нельзя подключиться по VPN. По умолчанию этот параметр не установлен. Поэтому при использовании этой возможности, нужно включить эту настройку.

Примечание: За удаленное подключение по VPN  в последних версиях отвечает только пункт в локальной консоли.

  

ОСОБЕННОСТИ РАБОТЫ

Для использования удаленного подключения, нужно обратить внимание на следующие особенности, и по возможности информировать о них пользователей.
1.   При удаленном подключении используется внешний (реальный) IP-адрес Carbon Billing. В то время как для обычного подключения из сети предприятия, как правило, используется внутренний IP-адрес Carbon Billing. Поэтому пользователям нужно сообщить внешний IP-адрес, а также уточнить, что уже настроенное соединение для работы из сети предприятия, например, на ноутбуке, не будет работать извне. Файл автоматической настройки соединения, находящийся в Личном Кабинете, также настраивает соединение для работы только с внутренним IP-адресом.
2.   ACP пользователя содержит инструкции по настройке VPN-соединения. При этом ACP пользователя по умолчанию закрыт от доступа извне. Поэтому если пользователю придется настраивать VPN-соединение вручную, то у него могут возникнуть затруднения. В этом случае, ему следует помочь настроить соединение или заранее скачать инструкцию по настройке VPN-соединения в виде файла с ACPа.
3.   При удаленном подключении, трафик, который пользователь генерирует на сервер, считается не для этого пользователя, а для системного пользователя "Внешний интерфейс сервера". Для таких внешних пользователей, можно создать специальный тарифный план и установить стоимость исходящего трафика равную стоимости входящего трафика для пользователя "Внешний интерфейс сервера".

Введите метки, чтобы добавить к этой странице:
Please wait 
Ищите метку? просто начните печатать.